NAT két outside interfésszel

Lulla a tanfolyamon feltette a kérdést, hogy mi van akkor ha a két outside interfészünk van, és az egyik interfészre NAT-olunk, azonban a csomagot egy másik interfészen keresztül küldjük ki?

Szégyen, de nem tudtam a választ, úgyhogy ki kellett próbáljam…

A topológia amin teszteltem az alábbi:

Két outside interfészes NAT
Két outside interfészes NAT

A címek első oktetje mutatja, hogy melyik két router közötti hálózatról van szó. Például a 47.1.1.0-ás hálózat az R4 és R7 közötti, a 68.1.1.0-ás az R6 és R8 közötti hálózat, és így tovább.  Az utolsó oktet pedig a router számát reprezentálja. Az R4 IP címe mindig .4-re, R6 IP címe mindig .6-ra végződik legyen szó bármely interfészéről. Loopback címe egyedül az R8-nak van ami 8.8.8.8 lett.

Az induló konfiguráció a teljesség igénye nélkül az alábbi:

R5 (inside host):
interface fa0/0
ip address 10.1.1.5 255.255.255.0

ip route 0.0.0.0 0.0.0.0 10.1.1.4

R4 (NAT router):
interface fa0/0
 description ### to R5
 ip address 10.1.1.4 255.255.255.0 
interface fa0/1
 description ### to R7
 ip address 47.1.1.4 255.255.255.0
interface fa0/1
 description ### to R6
 ip address 46.1.1.4 255.255.255.0
router eigrp 100
 no auto-summary
 network 46.1.1.0 0.0.0.255
 network 47.1.1.0 0.0.0.255
R6:
interface  fa0/0
 description ### to R8
 ip address 68.1.1.6 255.255.255.0
interface fa0/1 
description ### to R4
 ip address 46.1.1.6 255.255.255.0
router eigrp 100
 no auto-summary
 network 46.1.1.0 0.0.0.255
 network 68.1.1.0 0.0.0.255
R7:
interface  fa0/0
 description ### to R8
 ip address 78.1.1.6 255.255.255.0
interface fa0/1 
 description ### to R4
 ip address 47.1.1.6 255.255.255.0
router eigrp 100
no auto-summary
network 46.1.1.0 0.0.0.255
network 68.1.1.0 0.0.0.255
R8 (outside host):
interface fa0/0
 description ### to R6
 ip address 68.1.1.8 255.255.255.0
interface fa0/1
 description ### to R7
 ip address 78.1.1.8 255.255.255.0
interface lo1
 description ### loopback
 ip address 8.8.8.8 255.255.255.255
router eigrp 100
 no auto-summary
 network 8.8.8.8 0.0.0.0
 network 68.1.1.0 0.0.0.255
 network 78.1.1.0 0.0.0.255

A NAT konfigurációja R4-en az alábbi lesz:

interface fa0/0
   ip nat inside
interface fa0/1
   ip nat outside
interface fa2/0
   ip nat outside

access-list 1 permit 10.1.1.0 0.0.0.255

ip nat inside source list 1 interface fa2/0 overload

Ahhoz, hogy a csomagok pedig az fa0/1-es interfészen R7 fele menjenek ki, az EIGRP-t meg kell szüntetni R4 és R6 között. Ezt az interfész passive-ra állításával el lehet érni:

router eigrp 100
   passive-interface fa2/0

Ezt követően az EIGRP szomszéd le is megy. mostmár biztosítva van hogy a NAT-hoz használt cím az fa2/0 címe legyen, azonban a csomagok a másik outside interfészen menjenek ki.

Kérdés, hogy ha a másik outside-on megy ki, akkor történik-e NAT-olás, illetve ha a csomag másik interfészen jön be, mint amire NAT-olás van, akkor a visszafordítás működik-e?

Ezt könnyen kideríthetjük ha egyet pingelünk az R5-ről az R8 loopbackjére:

R5# ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/173/324 ms
R5#

Látható hogy működik ez esetben is a NAT.

Bemutató videó a konfigurációról: